改めて狙われるVPN機器。今一度、組織内の管理状況の点検や脆弱性の対応を

セキュリティアセスメント部の多和田です。

昨今、リモートワークの導入が進んだ結果、VPN機器を狙った攻撃が継続して行われるようになりました。実際に不正アクセスや情報漏えい等のインシデントに繋がってしまうケースも少なくありません。

昨年度は、以下のようなVPN機器を狙った攻撃が増加しているというLAC WATCH記事を掲載しています。

また、先月も主要なVPN機器に脆弱性が見つかり、引き続きVPNのセキュリティ対策には十分な注意が必要な状況と考えられます。

今後もこのような脆弱性が公開された場合は、アップデート等の対応を継続していく必要がありますが、本稿では、もう一つ見落としがちなリスクについて、取り上げたいと思います。

管理外のVPN機器にも注意が必要

そのリスクとは、自組織内に管理されてないVPN機器が潜んでいることです。アップデートや設定変更などのセキュリティ対策は、該当のVPN機器を管理（認識）できていて初めて対応できます。

もし、組織にとって、管理（認識）できていないVPN機器があれば、そのVPN機器はセキュリティ対策できません。結果として、VPN機器が不正アクセスを受け、さらに組織内へ侵入が拡大してしまう可能性もあります。

そのため、把握しているVPN機器のセキュリティ対策だけでなく、この管理されていないVPN機器が無いか確認することが重要です。特に、グループ企業や海外支店等の多くの接続点を持つ組織にとって、自組織全体で利用しているVPN機器を正確に把握することが難しいケースもあり注意が必要と考えます。

セキュリティアセスメント部では「脆弱性を見つけるサービス」を主にご提供しておりますが、こういった「管理外のシステム（VPN機器以外含む）が存在しないかを確認するサービス」もセキュリティ診断の一環として実施しております。このサービスの中で見つかる管理外のシステムは、実際にアップデート等のセキュリティ対策が行われておらず、非常に高いリスクとして検出されることがあります。

管理外のVPN機器を見つけるためには、いくつかの方法が考えられますが、例えば、このような管理外のVPN機器の危険性を組織内の部門等へ周知し、利用や心当たりの有無をアンケート調査するという方法も考えられます。また、継続的に探し出す方法として、当社では前述のサービスによって管理外のシステムの検出のお手伝いも行っております。

さいごに

リモートワークに欠かせないVPN機器ですが、今後も、攻撃者からも狙われる傾向が続くと予想されます。管理しているVPN機器のセキュリティ対策だけでなく、本稿で述べたような、管理外のVPN機器へのセキュリティ対策についてご検討いただく場合はぜひお声がけください。